A jóváhagyott fájlszint-emelések támogatása a Végponti jogosultságkezeléshez

A Microsoft Intune Végponti jogosultságkezelés (EPM) használatával a szervezet felhasználói normál felhasználóként (rendszergazdai jogosultságok nélkül) futtathatók, és emelt szintű jogosultságokat igénylő feladatokat hajthatnak végre. A rendszergazdai jogosultságokat általában igénylő feladatok az alkalmazások telepítése (például a Microsoft 365-alkalmazások), az eszközillesztők frissítése és bizonyos Windows-diagnosztika futtatása.

Ez a cikk azt ismerteti, hogyan használhatja a támogatott munkafolyamatot az Endpoint Privilege Managementtel.

A támogatott jogosultságszint-emelések lehetővé teszik, hogy jóváhagyást igényeljen a jogosultságszint-emelés engedélyezése előtt. A támogatott funkciókat a jogosultságszint-emelési szabály részeként vagy alapértelmezett ügyfélviselkedésként használhatja. Az elküldött kérelmek megkövetelik, hogy Intune rendszergazdák eseti alapon hagyják jóvá a kérelmet.

Amikor egy felhasználó emelt szintű környezetben próbál futtatni egy fájlt, és a fájlt a támogatott fájlszint-emelési típus kezeli, Intune egy jogosultságszint-emelési kérés elküldésére kéri a felhasználót. A jogosultságszint-emelési kérelmet ezután egy Intune rendszergazda továbbítja Intune felülvizsgálatra. Amikor egy rendszergazda jóváhagyja a jogosultságszint-emelési kérést, a rendszer értesíti az eszközön lévő felhasználót, és a fájl ezután emelt szintű környezetben futtatható. A kérelmek jóváhagyásához a Intune rendszergazda fiókjának további engedélyekkel kell rendelkeznie, amelyek a felülvizsgálati és jóváhagyási feladatra vonatkoznak.

Érintett szolgáltatás:

• Windows 10 rendszer esetén
• Windows 11

A támogatott jogosultságszint-emelések ismertetése

Használjon olyan EPM-szabályzatokat a támogatott jogosultságszint-emelési típussal, amelyekhez rendszergazdai jóváhagyásra van szükség ahhoz, hogy nagyobb hozzáféréssel fussanak. Hasonlóak a többi epm-jogosultságszint-emelési szabályhoz, de vannak olyan különbségek, amelyek további tervezést igényelnek.

A következő témák a támogatott jogosultságszint-emelési típus használatakor tervezendők és várhatók:

• Jogosultságszint-emelési kérések

  Ha egy felhasználó a jobb gombbal a Futtatás emelt szintű hozzáféréssel beállítással futtat egy fájlt, és a fájlt a szabályzat egy támogatott jogosultságszint-emelési szabmánnyal kezeli, Intune megjeleníti a felhasználónak a jogosultságszint-emelési kérés Intune Felügyeleti központba való küldésére vonatkozó kérést.

  • A kérés lehetővé teszi, hogy a felhasználó megadja a jogosultságszint-emelés üzleti okát. Ez az ok a jogosultságszint-emelési kérelem részévé válik, amely a felhasználó nevét, eszközét és fájlnevét is tartalmazza.

  • Amikor a felhasználó elküldi a kérést, az a Intune felügyeleti központba kerül, ahol a kérések kezeléséhez engedéllyel rendelkező Intune rendszergazda úgy dönt, hogy jóváhagyja vagy elutasítja azt.

  Az alábbi képen egy példa látható arra a fájlszint-emelési kérésre, amelyet a felhasználók tapasztalnak:

  

• Jogosultságszint-emelési kérelmek áttekintése

  A Intune rendszergazdának megtekintési és kezelési jogosultságokkal kell rendelkeznie a végponti jogosultságkezelés jogosultságszint-emelési kérelmeihez, mielőtt áttekinthetik és jóváhagyhatják a jogosultságszint-emelési kérelmeket.

  A kérések megkereséséhez és megválaszolásához ezek a rendszergazdák a Felügyeleti központ Végponti jogosultságkezelés lapjának Jogosultságszint-emelési kérelmek lapját használják. Mivel Intune nem tudja értesíteni a rendszergazdákat az új jogosultságszint-emelési kérelmekről, a rendszergazdáknak érdemes rendszeresen ellenőrizniük a függőben lévő kérelmeket.

  Azok a rendszergazdák, akik kezelhetik a jogosultságszint-emelési kérelmeket, elfogadhatnak vagy elutasíthatnak egy kérést. A döntésük okát is meg tudják adni. Ez az ok a kérelem naplózási rekordjának részévé válik.

  • Jóváhagyások esetén: Amikor egy rendszergazda jóváhagy egy jogosultságszint-emelési kérést, Intune egy szabályzatot küld arra az eszközre, amelyre a felhasználó elküldte a kérelmet, így a felhasználó a következő 24 órában emelt szintűként futtathatja a fájlt. Ez az időszak akkor kezdődik, amikor a rendszergazda jóváhagyja a kérelmet. A 24 órás időszak lejárta előtt nem támogatott az egyéni időszak vagy a jóváhagyott jogosultságszint-emelés visszavonása.

    A kérelem jóváhagyása után Intune értesíti az eszközt, és szinkronizálást kezdeményez. Ez eltarthat egy ideig. Intune az eszközön egy értesítéssel értesíti a felhasználót arról, hogy most már sikeresen futtathatja a fájlt a Futtatás emelt szintű hozzáféréssel jobb gombbal lehetőséggel.

  • Megtagadások esetén: Intune nem értesíti a felhasználót. A rendszergazdának manuálisan kell értesítenie a felhasználót a kérés elutasításáról.

• Jogosultságszint-emelési kérések naplózása

  A megfelelő engedélyekkel rendelkező Intune rendszergazdák megtekinthetik az EPM-házirendekkel kapcsolatos információkat, például a létrehozást, a szerkesztést és a jogosultságszint-emelési kérelmek kezelését a Intune auditnaplókban, amely a bérlői felügyeleti>auditnaplókban érhető el.

  Az alábbi képernyőfelvételen egy példa látható a támogatási jóváhagyott jogosultságszint-emelési szabályzat duplikálására szolgáló auditnaplóra, eredetileg Tesztházirend – támogatás jóváhagyva néven:

  

Jogosultságszint-emelési kérelmek RBAC-engedélyei

A jogosultságszint-emelési jóváhagyások felügyeletének biztosítása érdekében csak Intune olyan rendszergazdák tekinthetik meg és kezelhetik a jogosultságszint-emelési kérelmeket, akik a következő szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyekkel rendelkeznek a Intune:

• Végponti jogosultságkezelés jogosultságszint-emelési kérelmei – Ez az engedély szükséges a felhasználók által jóváhagyásra küldött jogosultságszint-emelési kérelmek kezeléséhez, és a következő jogosultságokat támogatja:

  • Jogosultságszint-emelési kérelmek megtekintése
  • Jogosultságszint-emelési kérelmek módosítása

Az EPM kezelésének összes engedélyével kapcsolatos további információkért lásd: Szerepköralapú hozzáférés-vezérlés a végponti jogosultságkezeléshez.

Szabályzat létrehozása a jóváhagyott fájlszint-emelések támogatásához

Támogatás által jóváhagyott jogosultságszint-emelési szabályzat létrehozásához használja ugyanazt a munkafolyamatot az EPM egyéb jogosultságszint-emelési szabályházirendjeinek létrehozásához. Lásd: Windows jogosultságszint-emelési szabályok szabályzata a Végponti jogosultságkezelés házirendjeinek konfigurálása című témakörben.

Függőben lévő jogosultságszint-emelési kérelmek kezelése

A jogosultságszint-emelési kérelmek áttekintéséhez és kezeléséhez kövesse az alábbi eljárást.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, és lépjen a Végpontbiztonsági>végpont jogosultságkezelési>jogosultságszint-emelési kérések lapjára.

2. A jogosultságszint-emelési kérelmek lap az elmúlt 30 napfüggőben lévő kéréseit és kéréseit jeleníti meg. Ha kijelöl egy sort, megnyílik a jogosultságszint-emelési kérelem tulajdonságainak bejegyzése, ahol részletesen áttekintheti a kérést.

3. A jogosultságszint-emelési kérelem részletei a következő információkat tartalmazzák:

   1. Általános részletek:

      • File – A jogosultságszint-emeléshez kért fájl neve.
      • Publisher – Annak a közzétevőnek a neve, amely aláírta a jogosultságszint-emelésre kért fájlt. A közzétevő neve egy hivatkozás, amely lekéri a fájl tanúsítványláncát letöltésre.
      • Eszköz – Az az eszköz, amelyről a jogosultságszint-emelést kérték. Az eszköz neve egy hivatkozás, amely megnyitja az eszközobjektumot a Felügyeleti központban.
      • Intune megfelelő – Az eszköz Intune megfelelőségi állapota.

   2. Kérelem részletei:

      • Állapot – A kérés állapota. A kérések Függőben állapotban kezdődnek, és a rendszergazda jóváhagyhatja vagy elutasíthatja .
      • By – Annak a rendszergazdának a fiókja, aki jóváhagyta vagy elutasította a kérelmet.
      • Utolsó módosítás – A kérelembejegyzés legutóbbi módosításának időpontja.
      • Felhasználó indoklása – A felhasználó által a jogosultságszint-emelési kérelemhez megadott indoklás.
      • Jóváhagyás lejárata – A jóváhagyás lejáratának időpontja. A lejárati idő eléréséig a jóváhagyott fájl jogosultságszint-emelése engedélyezett.
      • Rendszergazda oka – A rendszergazda által a jóváhagyás vagy megtagadás befejezésekor megadott indoklás.

   3. Fájlinformációk – A jóváhagyásra kért fájl metaadatainak jellemzői.

   

4. Ha bérlője Microsoft Security Copilot rendelkezik licenccel, használhatja az Elemzés a Copilottal lehetőséget, amely a Jogosultságszint-emelési kérelem tulajdonságai panel jobb felső sarkában található. Ezzel a beállítással Security Copilot dolgozhat Végponthoz készült Microsoft Defender a jogosultságszint-emelési kérelem fájljának kiértékeléséhez, mielőtt jóváhagyja vagy elutasítja azt.

5. Miután egy rendszergazda áttekint egy kérelmet, kiválaszthatja a Jóváhagyás vagy a Megtagadás lehetőséget. Mindkét kijelölésnél megjelenik az indoklási párbeszédpanel, ahol részletes információkat adhatnak meg az okokkal kapcsolatban a döntésükről. Az ok megadása nem kötelező. Az alábbiakban a jóváhagyási párbeszédpanel jelenik meg:

   • Jóváhagyások esetén – A rendszergazda befejezi az indoklási párbeszédpanelt, majd az Igen lehetőséget választja a kérelem jóváhagyásához. Intune elküldi a jóváhagyást az eszköznek, és a végfelhasználó bejelentési értesítésen keresztül értesítést kap arról, hogy képes megemelni az alkalmazást.

     A végfelhasználó most már elvégezheti a jogosultságszint-emelt szintű tevékenységet a fájl Futtatás emelt szintű hozzáféréssel parancsának jobb gombbal kattintva elérhető menüjével.

     

   • Elutasítás esetén – A rendszergazda befejezi az indoklási párbeszédpanelt, majd az Igen lehetőséget választva elutasítja a kérést.

     Ha egy rendszergazda tagadja meg a jóváhagyási kérelmet, a jogosultságszint-emelési kérelem nem lesz jóváhagyva. Intune nem küld választ az eszközre, és a felhasználó nem kap értesítést.

     

Fájlszint-emelési kérések elemzése Microsoft Security Copilot használatával

Az Endpoint Privilege Management (EPM) és a Microsoft Security Copilot segítségével csökkentheti a fájlszint-emelési kérések fájljainak azonosításához és kivizsgálásához szükséges munkát Security Copilot, mielőtt jóváhagyja vagy elutasítja a kérést. A Security Copilot a fájlok kiértékeléséhez és a megbízhatóság létrehozásához használt információkat a Microsoft Defender Intelligens veszélyforrás-felderítés (Defender TI) segítségével gyűjti össze és értékeli ki.

Ha például egy jogosultságszint-emelési kérelem fájltulajdonságainak megtekintésekor az Elemzés a Copilottal lehetőséget választja, Security Copilot olyan részleteket adjon meg, amelyek gyakran nem nyilvánvalóak, például:

• Az alkalmazások hírnevét
• Információ a közzétevő megbízhatóságáról
• A jogosultságszint-emelést kérő felhasználó kockázati pontszáma
• Annak az eszköznek a kockázati pontszáma, amelyről a jogosultságszint-emelés el lett küldve.

A Security Copilot EPM-hez való használatának előfeltételei

A Microsoft Security Copilot Endpoint Privilege Managementtel való használatához a bérlőnek licenccel kell rendelkeznie a Security Copilot(/copilot/security/get-started-security-copilot#minimum-requirements) használatához. Ez a követelmény az Endpoint Privilege Management használatának előfeltételein kívül van.

Ha a bérlője már rendelkezik licenccel az EPM-hez és a Security Copilot, nincs szükség további licencre vagy konfigurációra.

Munkafolyamat a fájlkérelmek elemzéséhez

A fájlszint-emelési kérések áttekintése közben Microsoft Security Copilot elemezheti egy fájl tulajdonságait:

1. A Microsoft Intune Felügyeleti központban lépjen a Végpontbiztonság>Végponti jogosultságkezelés elemre, és válassza a Jogosultságszint-emelési kérések lapot*.

2. A Jogosultságszint-emelési kérelmek területen válassza ki a jogosultságszint-emelési kérelem nevét a Jogosultságszint-emelési kérelem tulajdonságai panel megnyitásához, ahol áttekintheti a fájlok részleteit.

3. Ha azt szeretné, hogy Security Copilot közelebbről is megtekinthesse a fájlt, válassza az Elemzés a Copilottal lehetőséget a Jogosultságszint-emelési kérelem tulajdonságai panelen. Ha be van jelölve, Intune létrehoz egy bezárt Copilot-parancssort a fájlkivonat alapján. Ez a kérdés Végponthoz készült Microsoft Defender használ a fájl vizsgálatához. Az egyéni vagy megnyitott fájlelemzési kérések nem támogatottak.

4. A fájl elemzése után a rendszer visszaadja az eredményeket a felügyeleti központnak, ahol áttekintheti a fájlok részleteit. Ez a részletes információ alapján megalapozottabb döntést hozhat a jogosultságszint-emelési kérelem jóváhagyásáról vagy elutasításáról.

Példa: Az alábbi képek egy rendszergazda elérési útját és eredményeit jelenítik meg a felügyeleti központ elérési útjának Intune a felhasználó által elküldött fájlszint-emelési kérés megkereséséhez és kiválasztásához. A kérés egy InstallPrinter.msinevű fájl. Ha a fájl ki van jelölve, megnyílik a jogosultságszint-emelési kérelem tulajdonságai :

Amikor a rendszergazda áttekinti a fájlt, megjegyzi, hogy a fájl közzétevője ismeretlen. Annak ellenőrzéséhez, hogy ez a fájl megbízható-e, a Jogosultságszint-emelés kérelemtulajdonságok Elemzés a Copilottal beállításával közelebbről is megvizsgálhatják a Copilot.

A Copilot áttekinti a fájlt, és a következő részleteket jelenti vissza:

Az előző képen a Copilot-jelentés képernyőképe látható a InstallPrinter.msi fájl hírnevéről. Ebben a példában a fájl rosszindulatúként van azonosítva, és nem szabad engedélyezni, hogy emelt szintű környezetben fusson. Az eredmények további információkat és hivatkozásokat is tartalmaznak az azonosított kártékony fájlra mutató hivatkozásokra.

Kapcsolódó tartalom

• Útmutatás jogosultságszint-emelési szabályok létrehozásához
• Szabályzatok konfigurálása végponti jogosultságkezeléshez
• Végponti jogosultságkezelésre vonatkozó jelentések
• Adatgyűjtés és adatvédelem a Végponti jogosultságkezeléshez
• Üzembehelyezési szempontok és gyakori kérdések